Про Apple ID и гигиену паролей

Вчера в Hi-Tech Mail.ru, а сегодня еще и в Ведомостях появились статьи о том, что злоумышленники стали блокировать iPhone пользователей и вымогать за это деньги. У Хайтека в статье вообще половина материала — чистой воды феерия про пользователей, которые раздают свои пароли для того, чтобы получить приложения бесплатно, а потом жалуются на то, что их учетные записи почему-то блокируются. В Ведомостях, где традиции хорошего журнализма еще присутствуют, статья более взвешенная, но и к ним есть замечания.

Вообще я даже мог, наверно, вчера как-то исправить ситуацию, но я прохлопал запрос от портала mail.ru на комментарий, а потом уже, видимо, было поздно — отправленный им вчера вечером комментарий на сайте так и не появился. Что не мешает мне сказать вообще следующее по этому поводу:

особо комментировать даже как-то странно — половина статьи посвящена случаям «экономии» за счет пиратства, давайте будем называть вещи своими именами. То есть пользователи добровольно отдают пароль кому-то, а потом удивляются, что их аккаунтом кто-то пользуется (и тем более для таких методов). Это примерно как на рынке найти телевизор, в 10 раз дешевле, например, чем в магазине, вы понимаете, что он ворованный, но устоять очень сложно, цена же интересная! Поэтому вы отдаете ключи от квартиры продавцу, просите его отнести телевизор вам в квартиру, а когда приходите домой, чтобы оценить суперкартинку, оказывается, что квартиру уже обчистили, при этом сдав ее в аренду каким-то третьим людям, которые вообще не понимают, кто вы такой и чего вы хотите. Глупо вообще жаловаться после того, как добровольно отдал пароль.

Что касается случая Елизаветы — «подобрали» пароль означает, что у нее был, скорей всего, очень простой пароль на Apple ID-аккаунте — что-нибудь из серии 1234567, либо password, либо еще что-то из этой серии. Потому что при при трех неправильных попытках ввода пароля Apple инициирует проверку — просит указать имейл, на который будет отправлена информация о сбросе пароля, либо же ответить на дополнительные вопросы. Так что я практически уверен, что вначале у Елизаветы получили доступ к почте, а уже затем, например, сбросили пароль на Apple ID. (Ну, или у нее очевидные ответы для восстановления пароля). Или есть еще один прекрасный вариант — пароль для почты и Apple ID был использован один и тот же, что еще больше упрощает жизнь злоумышленникам. В любом случае, вот так просто взять и подобрать пароль к Apple ID нетривиально. И я очень сомневаюсь, что служба поддержки при этом могла сказать, что «данная проблема является массовой» (особенно радует выделение жирным в этом месте).

Более того, после того, как я поднял эту тему, мне написали, что подобная ситуация случалась у людей с ящиками на сервисе @mail.ru — кстати, даже в статье Ведомостей упоминается этот факт. Не хочу показывать ни на кого пальцами, но в ситуации с последними новостями типа всяких там Heartbleed и массовых утечек паролей на различных сервисах как правило именно почтовый ящик становится тем самым слабым звеном, через которое взламывают остальные сервисы.

Из твиттера:

@alexmak самое смешное, что большинство хакнутых (из знакомых) имели AppleID вида»@mail.ru». То есть пароли от почты слил как раз Мейл.ру

А Ведомости тоже могли бы поубавить желтизны в своей статье, хотя бы подредактировав заголовок — «Хакеры научились удаленно блокировать iPhone и iPad…» Ну что это за название, тоже мне «научились» — используют совершенно открытую и задокументированную функцию iOS/iCloud, разработанную как раз для пользователей и их защиты. При этом злоумышленники пользуются либо добровольно отданным паролем, либо, скорей всего, получают пароль через взломанный сервис почты. Если пароль достаточно безопасный, если пользователь следит за тем, куда он вводит свои пароли — то вероятность подобного взлома можно минимизировать, особенно если включить на почтовом сервисе услугу двойной авторизации. (подобный сервис есть и у Apple ID, но он пока недоступен для пользователей в России). А пользователи — они обычно ленивые, это же известно, даже Touch ID появилась в iPhone, потому что половине пользователей лень вводить пароль при разблокировке телефона и они его не настраивают.

PS Ну и у Apple есть хорошие рекомендации о том, как можно защитить свой Apple ID — как ПДД «написаны кровью», так и подобные рекомендации написаны по следам борьбы со злоумышленниками, и я очень рекомендую к ним прислушиваться. Ну и еще можно мои рекомендации по информационной безопасности рассмотреть, оно лишним не будет.

PPS В качестве домашнего задания на сегодня — поменяйте пароли на что-нибудь побезопасней, если вам кажется, что он слишком простой. (Если вам кажется, что он слишком простой — значит, так оно и есть, скорей всего.)

© alexmak.net